Tietosuoja

EU:n yleinen tietosuoja-asetus (The General Data Protection Regulation – GDPR) on tullut voimaan 25.5.2016 ja siirtymäajan päätyttyä 24.5.2018 kaikilta organisaatioilta odotetaan riittävää tasoa henkilötietojen käsittelyssä ja niihin kohdistuvien uhkien torjunnassa sekä havainnoinnissa.

MDI on ottanut tietosuoja-asetuksen vaatimukset asianmukaisesti ja lainsäädännön edellyttämällä tavalla huomioon ja tällä sivustolla kerrotaan, miten MDI:n käsittelee keräämiään henkilötietoja. Arvioimme toimintaamme GDPR:ää vasten ja huolehdimme, että sisäiset prosessit ja niiden dokumentointi on EU:n tietosuoja-asetuksen määräysten mukainen.

MDI Tietosuojakäytäntö

päivitetty 11.5.2018

Yleistä tietosuojakäytännöstä

MDI Public Oy (”MDI”) ottaa tietosuojan vakavasti. Tämä tietosuojakäytäntö on koottu tarjoamaan asiakkaillemme (”asiakas”) avoimia tietoja ja ohjeita keräämiemme tietojen yksityisyydestä ja tietosuojasta.

MDI henkilötietojen rekisterinpitäjänä ja käsittelijänä:

Ensinnäkin tämän tietosuojakäytännön on tarkoitus olla oikeudellinen dokumenttimme, joka pitää sisällään asiakkaitamme käsitteleviä henkilötietoja koskevat käytännöt. Nämä säännökset löytyvät osasta ”MDI rekisterinpitäjänä”.

Toiseksi, jos taas jokin organisaatio on suoraan meidän asiakkaamme, me olemme henkilötietojen käsittelijä asiakkaamme valtuutuksella ja puolesta. Asiakkaamme on tällöin rekisterinpitäjä. Nämä säännökset löytyvät osasta ”MDI tietojenkäsittelijänä”.

Päivitykset tietosuojakäytäntöön:

Tätä tietosuojakäytäntöä voidaan päivittää ajoittain (mdi.fi/tietosuoja). Emme tee merkittäviä muutoksia tai vähennä oikeuksia

Yrityksen tiedot

MDI Public Oy
Y-tunnus 2474533-0, Keskuskatu 10 C 18, 60100 Seinäjoki, puh. 040 588 2839

Nimetty yhteyshenkilö tietosuojatiedusteluihin:
Valtteri Laasonen, Keskuskatu 10 C 18, 60100 Seinäjoki, puh. 050 533 0604

MDI Public Oy on strategisen kehittämisen konsultointiyritys, joka on erikoistunut julkisen sektorin vuorovaikutteiseen kehittämiseen ja arviointiin. MDI tekee aktiivista työtä kaupunkien ja kuntien, maaseudun ja muuttuvien alueiden kehittämisen parissa. MDI on yksityinen ja puolueeton yritys, jonka asiakaskuntaan kuuluu mm. kuntia, maakuntien liittoja, ministeriöitä ja valtion virastoja, julkisomisteisia kehittämisyhtiöitä sekä muita y-tunnuksen alla toimivia yhteisöjä. MDI ei myy palveluitaan yksityisille henkilöille

MDI rekisterinpitäjänä

Rekisterin pitäjänä kerromme, miten itse käsittelemme asiakkaidemme ja heidän edustajiensa henkilötietoja omiin tarkoituksiimme.

Henkilötietojen luokat ja lähteet

MDI voi kerätä ja käsitellä seuraavia asiakas- ja henkilötietoja:
– nimi ja yhteystiedot
– organisaatio ja toimenkuva
– puhelinnumero
– sähköpostiosoite
– laskutus- ja laskutustiedot

Suurin osa asiakastiedoista vastaanotetaan suoraan asiakkailta rekisteröintipaikassa tai asiakasprojektien aloituksen yhteydessä. Lisäksi henkilötietoja voidaan kerätä ja päivittää palveluntarjoajilta ja julkisilta rekistereiltä.

Keräämme edellä mainittuja henkilö- ja asiakastietoja edellä kuvatulla tavoin myös MDI:n viestintää ja markkinointia varten (uutiskirje).

Toteuttamissamme asiakasprojekteissa saatamme usein kerätä kyseisiin projekteihin liittyviä henkilötietoja toteuttamiemme kyselyjen ja haastattelujen avulla. Käytämme kyselytyökaluina Surveypal, Webropol, REAL-järjestelmiä, jotka kukin ovat varautuneet hyvin ja sitoutuneet noudattamaan EU:n edellyttämää tietosuoja-asetusta. Kyselyjen avulla keräämiämme analytiikkatietoja ei käytetä henkilöiden tunnistamiseen. Kyselyissä ja asiakasprojekteissa kerättyjen henkilötietojen säilyttämisessä noudatamme tietosuoja-asetuksen mukaisia ehtoja (ks. kohta 8 tietojen säilyttäminen). Henkilötietoja kerätessämme ilmoitamme, miksi henkilötietoja kerätään, missä niitä säilytetään, miten kauan niitä aiotaan säilyttää, ja miten niitä tullaan jatkossa hyödyntämään.

MDI:n valtakunnallisen kuntakyselyn henkilötietorekisteri

MDI toteuttaa noin kerran vuodessa selvityksen Suomen kuntien tulevaisuuden suunnista ja menestystekijöistä sekä kehittämisen ja kehittämispanosten tulevaisuudesta. Kyseistä selvitystä varten MDI kerää vuosittain omaan tutkimus- ja selvityskäyttöön Manner-Suomen kunnanvaltuutettujen ja kuntien johtavien viranhaltijoiden tietoja (nimi, sähköpostiosoite, titteli) suoraan kuntien julkisilta internet-sivuilta. Henkilötietoja käsitellään tämän tietosuojakäytännön mukaisesti ja rekisteriä käytetään tutkimustarkoitukseen sekä MDI:n suoramarkkinointiin (MDI:n uutiskirje) niille, jotka ovat siihen antaneet erikseen suostumuksensa.

MDI tietojenkäsittelijänä

MDI käsittelee tietoja myös asiakkaiden puolesta ja asiakkaan antamien ohjeiden mukaisesti. Näissä tapauksissa henkilötietojen käsittely säännellään ensisijaisesti MDI:n tietosuojakäytäntöjen mukaan sekä asiakkaiden henkilö- ja yksityisyydensuojapolitiikan mukaisesti. Tilanteissa, joissa jokin organisaatio on suoraan MDI:n asiakas ja MDI saa asiakkaalta asiakasprojektin kannalta tärkeitä yhteystietoja (nimi, organisaatio, puhelinnumero ja / tai sähköpostiosoite) MDI on henkilötietojen käsittelijä asiakkaan valtuutuksella ja puolesta. Asiakkaamme on tällöin rekisterinpitäjä. Näitä tietoja säilytetään vain asiakasprojektin ajan ja käytetään vain asiakasprojektia varten rekisterinpitäjänä (asiakkaan) rekisterissä ilmoittamia tarkoituksia varten (ks. tarkemmin seuraavat kohdat).

Henkilötietojen käsittely ja lainsäädännölliset perusteet henkilötietojen käsittelylle

Henkilötietoja käsitellään ensisijaisesti voidaksemme tarjota asiakkaillemme palveluja ja ylläpitää ja kehittää liiketoimintaamme. Henkilötietoja voidaan käsitellä, jotta voimme hoitaa sopimusvelvollisuutemme asiakkaalle. Voimme käyttää tietoja esimerkiksi suorittaaksemme haastatteluja tai kyselyitä, järjestääksemme työpajoja ja viestiäksemme tilaisuuksiin kutsutuille henkilöille sekä ottaaksemme yhteyttä asiakasprojektiemme kannalta tärkeisiin henkilöihin. Jos asiakas ottaa yhteyttä henkilökuntaamme, käytämme toimitettuja tietoja vastaamaan kysymyksiin ja ratkaisemaan mahdolliset ongelmat.

Voimme käsitellä henkilökohtaisia tietoja, jotta voimme ottaa yhteyttä asiakkaisiin palveluistamme ja tiedottaa asiakkaille muutoksista palveluissamme sekä markkinoida palveluitamme.

Henkilötietoja käsitellään sopimusvelvoitteiden täyttämiseksi asiakkaille ja oikeudellisten velvoitteiden noudattamiseksi. Lisäksi käsittelemme henkilötietoja pyrkimällä oikeutettuun etuumme liiketoiminnan ylläpitämiseen, ylläpitoon ja kehittämiseen sekä asiakassuhteiden luomiseen ja ylläpitoon. Päättäessämme käyttää henkilötietoja laillisten intressiemme perusteella huomioimme aina yksilöiden oikeuden heidän yksityisyyttään kohtaan.

Tiedon luovuttaminen ETA-alueen ulkopuolisiin maihin

MDI säilyttää asiakkaan henkilötietoja ensisijaisesti Suomessa. Olemme ulkoistaneet IT-hallintaa ja viestintäteknologiaa ulkopuolisille palveluntarjoajille, joiden hallinnoimille ja suojaamille palvelimille henkilötietoja tallennetaan. MDI:llä on käytössä Googlen G-Suite palvelut, jolloin osa henkilötietoja sisältävistä dokumenteista saattaa sijaita EU:n ulkopuolella. Googlen tietosuojakäytännöt löytyvät täältä. MDI:n uutiskirjepalvelu Mail Chimp saattaa säilyttää myös henkilötiedot EU:n talousalueen ulkopuolella. Teemme kuitenkin töitä sen varmistamiseksi, että asiakkaiden henkilötiedot saavat riittävän suojan.

Lisätietoa henkilötietojen siirrosta saa meiltä ottamalla yhteyttä meihin.

Henkilötietojen saajat

Emme jaa henkilötietoja kolmansien osapuolten kanssa MDI:n organisaation ulkopuolelle, ellei jokin seuraavista seikoista päde:

a) tämä on välttämätöntä tässä tietosuojakäytännössä tarkoitetuissa tarkoituksissa
Sikäli kuin kolmannet osapuolet tarvitsevat pääsyä henkilötietoihin palvelujen suorittamiseksi, MDI on toteuttanut asianmukaiset organisaatiotoimenpiteet sen varmistamiseksi, että henkilötietoja käsitellään yksinomaan tässä tietosuojakäytännössä määriteltyihin tarkoituksiin ja kaikkien sovellettavien lakien ja määräysten mukaisesti.

b) oikeudellisista syistä
Voimme jakaa henkilötietoja kolmansien osapuolten kanssa MDI:n organisaation ulkopuolelle, jos meillä on hyvä usko siihen, että henkilötietojen käyttöoikeus ja käyttö on kohtuudella välttämätöntä i) täyttämään kaikki sovellettavat lait, asetukset ja / tai tuomioistuimen määräykset; (ii) havaita, estää tai muuten puuttua petoksiin, turvallisuuteen tai teknisiin kysymyksiin; ja / tai (iii) suojata MDI:n asiakkaitamme tai kansalaisten etuja, ominaisuuksia tai turvallisuutta lain mukaisesti. Kun mahdollista, ilmoitamme asiakkaille tällaisesta siirrosta ja käsittelystä.

c) valtuutetuille palveluntarjoajille
Voimme jakaa henkilötietoja valtuutetuille palveluntarjoajille, jotka suorittavat palveluita meille (mukaan lukien tietojen tallennus, myynti, markkinointi ja asiakastuki). Palveluntarjoajien kanssa solmitut sopimukset sisältävät sitoumuksia, jotka palveluntarjoajat suostuvat rajoittamaan henkilötietojensa käyttöä ja noudattamaan yksityisyys- ja turvallisuusstandardeja, jotka ovat vähintään yhtä tiukkoja kuin tämän tietosuojakäytännön ehdot. Muista, että jos annat henkilötietoja suoraan kolmannelle osapuolelle, kuten verkkosivustossamme olevan linkin kautta, käsittely perustuu tyypillisesti niiden käytäntöihin ja standardeihin.

d) muista oikeutetuista syistä
Jos MDI fuusioituu tai omaisuus myydään, voimme siirtää henkilötietoja kolmansille osapuolille. Jatkamme kuitenkin edelleen kaikkien henkilötietojen luottamuksellisuutta. Ilmoitamme kaikille asianomaisille asiakkaille, kun henkilötietoja siirretään tai he joutuvat erilaisen tietosuojasäännön piiriin mahdollisimman pian.

e) asiakkaan suostumuksella
Voimme jakaa henkilökohtaisia tietoja kolmansien osapuolten kanssa MDI:n organisaation ulkopuolelle muista kuin aiemmin mainituista syistä silloin, kun meillä on asiakkaan nimenomainen suostumus siihen. Asiakkaalla on oikeus peruuttaa tämä suostumus kaikkina aikoina.

Tietojen säilyttäminen

MDI ei säilytä henkilötietoja pidempään kuin on laillisesti sallittua ja tarpeellista asiakassuhteiden kannalta tai asiakasprojektien tai niiden asiaankuuluvien osien suorittamiseksi. Varastointikausi riippuu tietojen luonteesta ja käsittelytavoitteista. Enimmäisaika voi siis vaihdella käyttötarkoituksen mukaan. Henkilötiedot ja asiakkaita koskevat tiedot poistetaan yleensä kohtuullisen ajan kuluessa, kun asiakassuhde ja / tai asiakasprojekti on päättynyt. Henkilötietoja säilytetään niin kauan kuin asiakassuhde kestää, eikä sen jälkeen enää pidempään kuin lain edellyttämiin tai välttämättömiin oikeutettuihin etuihin, kuten korvausten käsittelyä, sovinnontekoa, sisäistä raportointia, markkinointia varten.

Asiakkaan oikeudet

Oikeus päästä käsiksi henkilötietoihin
Sinulla on oikeus päästä käsiksi käsittelemiimme henkilötietoihisi. Asiakkaat voivat ottaa yhteyttä meihin ja kerromme, mitä henkilötietoja meillä on kerätty ja käsitelty kyseisestä henkilöstä.

Oikeus peruuttaa suostumus
Jos henkilötietojen käsittely perustuu asiakkaan myöntämään suostumukseen, asiakas voi peruuttaa suostumuksensa milloin tahansa. Mm. asiakkaille lähtevät kyselyt ja uutiskirjeet sisältävät opt-out (unsubscribe) mahdollisuuden.

Oikeus tietojen oikaisuun
Asiakkailla on oikeus saada korjattavakseen tai täydennettäväkseen virheellisesti tai puutteellisesti keräämäämme henkilötietonsa.

Oikeus tyhjentää
Asiakkaat voivat myös pyytää meitä poistamaan asiakkaan henkilötietoja järjestelmiltämme. Me noudatamme tällaista pyyntöä, ellei meillä ole perusteltua syytä olla poistamatta tietoja.

Oikeus vastustaa
Asiakkaat voivat vastustaa henkilötietojen käsittelyä, jos näitä tietoja käsitellään muuhun tarkoitukseen kuin asiakasprojektin tai palvelun suorittamiseen asiakkaalle tai lakisääteisen velvoitteen noudattamiseksi. Jos meillä ei ole perusteltua syytä jatkaa tällaisten henkilötietojen käsittelyä, emme enää käsittele henkilötietoja vastalauseesi jälkeen.

Oikeus käsittelyn rajoittamiseen
Asiakkaat voivat pyytää meitä rajoittamaan henkilötietojen käsittelyä esimerkiksi silloin, kun tietojen poistaminen, oikaisu- tai vastalausepyyntösi ovat vireillä ja / tai kun meillä ei ole perusteltua syytä käsitellä tietoja.

Oikeus tietojen siirrettävyyteen
Asiakkailla on oikeus saada henkilökohtaiset tietonsa jäsennellyssä ja yleisesti käytetyssä tiedostomuodossa ja toimittaa nämä tiedot itsenäisesti kolmannelle osapuolelle.

Oikeuksien käyttäminen
Edellä mainittuja oikeuksia voidaan käyttää lähettämällä meille kirjeitse tai sähköpostilla yllä mainittuihin osoitteisiin. Mukana tulee olla seuraavat tiedot: täysi nimi, organisaation nimi, osoite, sähköpostiosoite ja puhelinnumero. Voimme pyytää lisätietoja asiakkaan henkilöllisyyden vahvistamiseksi. Voimme hylätä pyynnöt, jotka ovat kohtuuttoman toistuvia, liiallisia tai ilmeisen perusteettomia.

Suoramarkkinointi

Huolimatta siitä, että asiakas on antanut etukäteen suostumuksen suoramarkkinointiin, asiakkaalla on oikeus kieltää meitä käyttämästä hänen henkilötietojaan suoramarkkinointitarkoituksiin ottamalla yhteyttä meihin tai peruuttamalla uutiskirjeemme sen yhteydessä tarjottavan peruuttamislinkin kautta.

Tietoturvallisuus

Käytämme hallinnollisia, organisatorisia, teknisiä ja fyysisiä suojakeinoja keräämämme ja käsittelemämme henkilötietojen suojaamiseksi. Toimenpiteisiin voi sisältyä tarvittaessa salaus, palomuurit ja turvalliset tilat. Turvallisuustarkastuksemme on suunniteltu ylläpitämään asianmukaista tietotasoa ja luotettavuutta ja kykyä palauttaa tiedot. Asianmukainen ulkopuolinen taho on suorittanut auditoinnin henkilötietokäytännöillemme ja varmistaa asianmukaisen tietoturvamme. Jos turvallisuustoimenpiteistä huolimatta tapahtuu tietoturvaloukkauksia, jotka voivat vaikuttaa kielteisesti asiakkaiden yksityisyyteen, ilmoitamme asiasta asianomaisille asiakkaille ja muille asianosaisille sekä asianomaisille viranomaisille sovellettavien tietosuojalakien edellyttämällä tavalla mahdollisimman pian. Vahinkojen ja tietoturvariskien hallinta on tiiviisti määritelty prosessi, johon sisältyy tapahtumien tunnistaminen, arviointi, riskinarvioinnin arviointi, teknisten ja operatiivisten toimien täytäntöönpano, viestintä- ja seurantamenettely. Vahinkojen sattuessa kaikki yksittäisten tapahtumien osatekijät tiedotetaan asianomaisille ilman aiheetonta viivytystä. Kaikki vaaratilanteet kirjataan, ja nämä tapaukset analysoidaan, jotta niiden riski minimoidaan.

Työntekijöiden tietoturvaohjeistus pitää sisällään tämän tietosuojakäytäntöjen noudattamisen lisäksi työntekijöiden kanssa yhdessä läpi käydyn henkilötietojen käsittely- ja luokitteluohjeistuksen, salasanakäytännöt, työpöytä- ja työasemaohjeistuksen, mobiililaitteiden käytännöt, asiakastietojen käyttöoikeudet sekä viestintä- ja kriisiviestintäkäytännöt.